セットアップ1 


本体の設置からお使いなれる状態にするまでの手順について説明します。また、装置を再セツトアップす 
る場合もここに記載している説明を参照してください。 


設置と接続(一34ページ） . 

..本体の設置にふさわしい場所やラックへの搭載手 
順、背面のコネクタへの接続について説明してい 
ます。 

初めてのセットアップ(一49ページ） . 

.. 本装置を使用できるまでのセットアップ手順じつ 
いて説明しています。 

管理コンピュータのセットアップ(一76ページ） . 

..ネ、ソトワーク上のコンピュータからシステムの管 
理-監視をするバンドルアプリケーションのイン 
ス1'''ール方法について説明しています。 


再セツトアップ(一77ぺージ) 


システムを再セットアップする方法について説明 
しています。 









設置と接続 

本体の設置と接続につし^て説明します。 



本装置は卓上または曰 A 規格に適合したラックに設置して使用します。 


卓上への設置 



A ミち意 


与)瓜 

装置を安全にお使いいただくために次のま意事項を必ずお守りください。指示を 
守5ないと、乂傷やけがなどを負うおそれや物的損害を負うおそれびあります。 
詳しくは、 m ぺージ似降の説明をご覧ください。 

• 指定 m がの場所に設置しない 


本体の設置にふさわしい場所は次のとおりです。 
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次に示す条件に当てはまるような場所には、設置しないでください。これらの場所に本装置 

を設置すると、誤動作の原因となります。 

♦ 温度変化の激しい場所(暖房器、エアコン、ぶ蔵庫などのお<)。 

♦ 強い振動の発生する場所。 

♦ 腐食性ガスの発生する場所、薬品類のお<や薬品類がかかるおそれのある場所。 

♦ 帯電防止化工が施されていないじゅうたんを敷いた場所。 

♦ 物の落下が考えられる場所。 

♦ 電源コードまたはインタフェースケーブルを足で踏んだり、引っ掛けたりするおそれの 
ある場尸升。 

♦ 強い磁界を発生させるもの（テレビ、ラジオ、放送/通信用アンテナ、送電線、電磁ク 
レーンなど)のおく（やむを得ない場合は、保守サービス会社に連絡してシールドエ事な 
どを行ってください）。 

• 本装置の電源コードを他の接地線(特に大電力を消費する装置など)と共用しているコン 
セントじ接続しなければならない場所。 

• 電源ノイズ(商用電源をリレーなどで ON/OFF する場合の接点スパークなど)を発生する 
装置のおくじは設置しないでください。（電源ノイズを発生する装置のおくに設置すると 
きは電源配線の分離やノイズフィルタの取り付けなどを保守サービス会社に連絡して 
行ってください。） 

卓上に置く場合は、本体底面に添付のゴム足を 

貼り付けてください。 

設置場所が決まったら、本体の底面をしっかり 

と持って、設置場所にゆっくりと静かに置いて 

ください。本装置は3台まで積み重ねて置くこ 

とができます。 


横一列に並んでいるリベット 
のうち、中央にあるリベット 
の上に貼り付ける 
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ラックへの設置 

ラックの設置については、ラックに添付の説明書を参照するか、保守サービス会社にお問い 
合わせください。 

ラックの設置作業は保守サービス会社に依頼することもできます。 






装置を安全にお使いいただくために次のを意事項を必ずお守りください。指示を 
守5ないと、人び死こずる、または重傷を負うおそれびありまず。詳しくは 、 iii 
ページ ly 降の説明をご覧ください。 

• 指定 m がの場所で使用しない 

• アース線をガス管につなびない 


A ? ま局 

装置をま全にお使いいただくために次の注意事項を必ずお守りください。指示を 
守5ないと、义傷やけがなどを負うおそれや物的損害を負うおそれびあります。 
詳しくは、 m ぺージ降の説明をご覧ください。 

• 一人で搬送•設置をしない 

• 一人で部品の取り付けをしない 

• 荷重が集中してしまうような設置はしない 

• ラックび不安定な状態でデバイスをラックか5引き出さない 

• 複数台のデバイスをラックか5引き出した状態にしない 

• 定格電源を超える配線をしない 


0 

AA 


次に示す条件に当てはまるような場所には、ラックを設置しないでください。これらの場所 
にラックを設置したり、ラックに本装置を搭載したりすると、誤動作の原因となります。 

• 装置をラックから完全に引き化せないような狭い場所。 

• ラックや搭載する装置の総質量に耐えられない場所。 

• スタビライザが設置できない場所や耐震工事を施さないと設置できない場所。 

• 床におうとつや傾斜がある場所。 

• 温度変化の激しい場所(暖房器、エアコン、ぶ蔵庫などのおく）。 

• 強い振動の発生する場所。 

• 腐食性ガスの発生する場所、薬品類のお<や薬品類がかかるおそれのある場所。 

• 帯電防止化工が施されていないじゅうたんを敷いた場所。 

• 物の落下が考えられる場所。 
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♦ 強い磁界を発生させるもの（テレビ、ラジオ、放送/通信用アンテナ、送電線、電磁ク 
レーンなど)のおく（やむを得ない場合は、保守サービス会社に連絡してシールドエ事な 
どを行ってください）。 

• 本装置の電源コードを他の接地線(特に大電力を消費する装置など)と共用しているコン 
セントじ接続しなければならない場所。 

• 電源ノイズ(商用電源をリレーなどで ON / OFF する場合の接点スパークなど)を発生する 
装置のおく（電源ノイズを発生する装置のおくに設置するときは電源配線の分離やノイズ 
フィルタの取りがけなどを保守サービス会社に連絡して行ってください）。 

本体をラックに取り付ける手順を下に示します。取り外し手順については、取り付け手順 
の後で説明しています。 

ここでは、 NEC 製のラックまたは他社製ラックへの取り付け手順について説明します。 
NEC 製のラックのうち、 N 8540 -28/29/38 に取りがける場合は、オプションの 「NS 143-35 
ラック取り付け用ブラケット」が必要です。取り付け手順については、 N 8143-35 ラック取 
り付け用ブラケットに添付の説明書を参照するか、保守サービス会社にお問い合わせくださ 
い。 





Q 

装置を安全にお使いいただくために次のま意事項を必ずお守りください。指示を 
守5ないと、人が死じする、または重傷を負うおそれびありまず。詳しくは 、 iii 
ぺー ジ拟降の説明をご覧ください。 

• 規格がのラックで使用しない 

• 指定似がの場所で使用しない 



A ミち意 


^\ A \ 

装置を安全にお使いいただくために次のを意事項を必ずお守りください。指示を 
守5ないと、义傷やけびなどを負うおそれや物的損害を負うおそれびあります。 
詳しくは、 iii ぺージ ly 降の説明をご覧ください。 

• 落下注意 

• 装置を引き出したが態にしない 

• カバーをがしたまま取り付けない 

• 指を挟まない 



セットアップ 


37 
















取り付け部品の確認 

ラックへ取りがけるために次の部品があることを確認してください。 



項番 

名称 

数量 

備考 

① 

マウントブラケット〇 _) 

1 

「1_」と刻印されている。 

② 

マウントブラケット ( R ) 

1 

「 R 」 と刻印されている。 

③ 

サポートブラケット 

2 


④ 

エクステンションブラケット 

2 


⑥ 

コアナット 

8 


⑥ 

ネジ A 

4 

M 3 ネジ、ネジ部の長さ： 5 mm 、 マウ 
ントブラケット ( L )/( R ) を装置(こ固定 
する際(こ使用する。 

⑦ 

ネジ目 

6 

M 己ネジ、ネジ部の長さ： 10 mm 、 サポ 
ートブラケットを固定する際に使用す 

⑧ 

ネジ C 

2 

皿ネジ、エクステンションブラケット 
を固定する際に使用する。 


必要な工具 

ラックへ取り付けるために必要な工具はプラスドライバとマイナスドライバです。 
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取り付け手順 

次の手順で本体をラックへ取り付けます。 

I n-O NEC 製のラックのラち、 N 8540-28/29/38〜®®0 WW [& N 8143-35 ラック取0 
付け用ブラケットび必要となりまず。また、取り付け方法については N 8^ 43-35 ラック 
取り付け用ブラケットに添付の説明書をご覧ください。 


• マウントブラケットの取り付け 


1 . マウントブラケットのネジ穴と本体側面のネジ穴を合わせる。 

ブラケットの向きを確認して取り付けてください。本体左側面(こマウントブラケット （ L )、 ち側 
面(こマウントブラケット （ R ) を取り付けます。それぞれのブラケット(こ ru 、「 R 」 と刻印があり 
ます。 

2 . マウントブラケットをネジ A に本)で本体に固定する。 

3. もう一方の側面にマウントブラケットを手順1〜2と同じ手順で取り付ける。 
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• コアナットの取り付け 

サポートブラケットを固をする位置に本装置に添付のコアナットを取りがけます。コア 
ナットはラックの前面(左ちとち）じを2個、背面(左ちとち）じを2個の合計8個取り付け 
ます。 

コアナットは riU (ラックでの高さを表す単位)」の中に2個取り付けてください ( NEC 製の 
ラックでは、 1 U 単位に丸い刻巧があります）。 1 U あたり、ス□ット（角穴）が3つありま 
す。3つのス□、ソトのうち、ラック前面側では下の2つのス□ットに、ラック背面側では 
上下のス□、ソトにコアナットを取りがけます。 

コアナットはラックの内側から取りがけます。ラックの前面に取りがけたコアナット 
は、上側が本体のセットスクリューの受けとなります。下側はサポートブラケット前面 
の固をに使用します。背面のコアナツトはサポートブラケット背面の固定用として使わ 
れます。 


ラック前面側 


ラック背面側 


コアナットは下側のクリップをラックの四角穴に引っかけてからマイナ 
スドライバなどで上側のクリ、ソプを穴に差し a みます。 




ラックの前後、左ちに取り付けたコア 
ナットの高さが同じであることを確認 
してください。 






■ 一口 D 〇 \：\ PPPP 


ア 

□ 
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ヴポートブラケットの取り付け 

. サポートブラケットの□ックを解除して 
引き延ばす。 



2. <ラックの前後の奥行きが700 mmlr ^ LL の場合のみ> 

ラックの前後の奥行きが700 mmJ :> (上の場合のみ] U 下の手順を行います。 

①サポートブラケットの□ックを解除 
してブラケットを分解する。 


ブフケ、ソ I 


③エクステンションブラケットを一方 
のブラケット(こ差し} A む。 




セットアップ 
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コアナツトを取り付けた位置にサポート 



ます。これ]:>(上延ばすとかれて 
しまいます。） 




































© 


o 


ラック背面側 


© = 
曾 


サボートブラケットのネジ穴は多少上下にず5すことびでさる程度のクリアランスを持ってい 
ます。初めて取り付ける場合は、コアナットのネジ穴びサポートブラケットのネジ穴の中央に 
位置するようにしてか5固定してください。もし、装置を取り付けたときに装置の上下に搭載 
している装置にぶつかる場台は、いったん本装置を取り出してサボートブラケットの固定位置 
を調整してくださしパぶつかる装置の取り付け位置ち調整ずる必要びある場台ちありまず)。 


已.もう一方のサポートブラケットを手順1〜4と同じ手順で取り付ける。 




すで(こ取り付けているサポートブラケットと同じ高さ(こ取り付けていることを確認してくださ 
い。 


本体の取り付け 

取りがけは1人でちできますが、なるベ<複数をで行うことをお勤めします C 


1 . 本体前面が手前になるようじして持つ。 

2 . 本体側面に取りがけたマウントブラケッ 
卜をサポートブラケット(こ差し込みなが 
らラ 、ソク へ押し A む。 


装置の上下に搭載している装置にぶつ 
かる場合は、いったん本装置を取り出 
してサボートブラケットの固定位置を 
調整してください。（ぶつかる装置の取 
り付け位置ち調整ずる必要びある場台 
ちあります）。 



セットアップ 
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• 本体の固定 



リユー 
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取り外し手順 

次の手順で本体をラックから取り外します。取り外しは1人でもできますが、なるべく複数 
さ)で行うことをお勧めします。 



A ミ主意 


爪 A 

装置を安全にお使いいただくために次のま意事項を必ずお守りください。指示を 
守5ないと、义傷やけびなどを負うおそれや物的損害を負うおそれびありまず。 
詳しくは、 m ぺージ ly 降の説明をご覧ください。 

• 指を挟まない 

• ラックび不ま定なが態でデバイスをラックか5引を出さない 

• 落下ま意 

• 装置を引を出した状態にしない 

• 複数台のデバイスをラックか5引き出した状態にしない 

• 動作中に装置をラックか5引き出さない 




セ 

ツ 

卜 

ア 

ツ 

プ 



2 . フ□ントべゼルを取り外す。 

3 . 本体の電源を OFF ( POWER ランプ消な） 
(こする。 

4. 本体前面じある UID スイ、ソチを押して、 
UD ランプを点灯させる。 



已.本体(こ接続しているすべてのケーブル、 
および電源コードを取りかし、 UID ラン 
プが消のしていることを確認する。 


I チェック I 


本体背面のケーブルや電源コードを取 
りかす前(こ UID ランプで取りかそうと 
している装置であることを確認してく 
ださい。 
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目. 


前面の左ちにあるセットスクリューをゆ 
るめて、八ンドルを持ってゆっくりと 
ラックか6引き化す。 

本体の両端をしっかりと持てる位置（約 
1己 cm ほど）までゆっくりと静かにラック 
か6引き化してください。 



装置を引き出しずざると、サポートブ 
ラケツトか 5 装置びがれて落下ずるお 
それびあります。 


セツ 



リユー 



7. 本体の左ち底面をしっかりと持って取りかし、じょうぶで平6な机の上に置く。 

I w-Oi® 

I 装置を引き出したまま放置しないでください。必ずラックか 5 取りがしてくださし、。 


ラックの機構部品も取りかす場合は、「取り付け手順」を参照して取りかして<ださい。 
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本体をネツトワークに接続します。 

ネツトワークケーブルを本体に接続してから添付の電源コードを本体に接続し、電源プラグ 
をコンセントにつなげます。 





0A 

装置を安全にお使いいただくために次の注意事項を必ずお守りください。指示を 
守5ないと、人が死こずる、または重傷を負うおそれびあります。詳しくは 、 iii 
ページ ly 降の説明をご覧ください。 

• めれた手で電源プラグを持たない 

• アース線をガス管につなびない 


A ミ主意 


装置を安全にお使いいただくために次のを意事項を必ずお守りください。指示を 
守5ないと、义傷やけびなどを負うおそれや物的損害を負うおそれびあります。 
詳しくは、 m ぺージ ly 降の説明をご覧ください。 




• 指定 ly がのコンセントに差し込まない 
• たこ足配線にしない 
• 中途半端に差し込まない 
• 指定 m がの電源コードを使わない 

• プラグを差し込んだままインタフ I ースケーブルの取り付けや取りがしをしない 
• 指定杉がのインタフェースケーブルを使用しない 


M-O • 本体および接続ずる周辺機器の電源を OFF にしてか5接続してください。 ON の状態の 
まま接続ずると誤動作や故障の原因となります。 

• NECm が(サードパーティ）の周辺機器およびインタフェースケーブルを接続する場合 
は、お買い求めの販売店でそれ5の装置び本装置で使用できることをあ5かじめ確認し 
てください。サードパーティの装置の中には本装置で使用でをないものびありまず。 
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フェース機器 


I |にに|| 


2 占 4 占 


最後に添付の電源コードを 
コンセントに接続ずる。 



1占 


3る 


内部ネットワークへ 


DMZ ネットワークへ 


ー ネットワークに接続する前に次の点(こついて確認してください。 

• ネットワーク機器 

必要なルータ、八ブ、ケーブルが準備されていることを確認してください。 

• クライアント PC 

本装置とは別に 、 Windows XP、Windows 2000、 WindowsNT 、 または Windows 
98の Windows OS が利用巧能なクライアントマシン ( PC ) を用意してください。クライ 
アントか6のポリシーの設定-インストール(こ利用します。 


W 上で本体の電源を ON にできる状態になりました。 

購入後、初めて本体の電源を ON にする場合は、この後の r 初めてのセットアップ」をご覧く 
ださい。再セットアップの場合は、77ページの r 再セットアップ」を参照してください。 
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初めてのセットアップ 

購入後、初めて本製品をセットアップする時の手順について順を追って説明します。二重化構成を構築す 
る場合は、まず4章の r 二重化構成について」を参照して<ださい。 


ットアップの概要 


本製品のセットアップには、本体 t (外のマシンや接続のためのケーブルなどが必要です。 
また、それぞれのマシンについてもソフトウエアのインストールなど準備が必要です。 

• 本体 

Firewall- 1 (Linux 版)のモジュール、および基本設定:ツールが 「pm 形式で八ードディスク上 
の r/opt/necfws/RPMS」 にインストール済みです。 

これらをこの後に示す手順に従って展開-コンフィグレーションしてください。 

• 管理コンピュータ 

システムの基本設ををするために使用する管理コンピュータに、あらかじめ WindoWS 
98八イパーターミナルなどの通信ソフトが入っていることを磕認してください。 

また、ターミナルエミュレータの設をを別途記述しています。磕認してください。 

• クライアント PC 

ポリシー編集用のクライアント PC(Windows 98/NT/ 2000 /XP で動作するネットワーク 
上のコンピュータ)には、本装置に同捆されている Check Point Next Generation の CD- 
ROM からモジュールや GUI クライアントをインスI-ールしてください。詳しくはこの後 
の説明を参照してください。 

次ページにセットアップの流れを示します。 


セットアップ 
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ンピュータのセツトアップと接続 


巧1ぺージ 


八イパーターミナルなどの通信ソフトウエアの確認 


2. シリアルケーブル（ク□ス）の接続 


3. ターミナルエミュレータの設定 


4. 管理コンピュータの接続 


〇 


システムのセツトアップ 


巧2ぺージ〜63ぺージ 


設定ツール （fwsetup) によるマシンの基本設定 


2. 再起動 


3. 円 reWall-1 モジュールの展開 


4. FireWall-1 の コンフイ グレーシヨ ン 


己.再起動 


〇 


リティポリシーのセットアップとインストール ー ► SA ぺージ〜73ぺージ 


1. クライアントマシンへのインス!ル 


2. セキュリティポリシーの設定 


3. セキュリティポリシーのインス!ル 


〇 


セキュリティポリシーのバックアップ 


〇 


ESMPRO / ServerA 呂 ent のセツトアップ 


,74ぺージ 


>75ぺージ 


〇 


システム情報のノ くックアップ 


>75ぺージ 
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-シリアルケーブル（ク□ス） 

K 210-84(05)(9 pin -9 pin ) または K 208 -12(03) (9 pin -25 pin ) のうち、お手持ちの〕 
ンピュータに適合するケーブルをご利用ください。 

② ケーブルの接続 

本体前面にあるシリアルポート2 ( COM 2) にシリアルケーブル(ク□ス）を接続してくださ 
い。 

③ 夕ーミナルエミュレータの設定 

ターミナルエミュレータのパラメータは下の ように設をしてください。 

ボーレート： 19,200 bps 

パリティ： なし 

キャラクタ長： 8 bit 
ストップビット：1 bit 

④ 管理コンピュータの接続 

本体の電源を投入後、しばらく （3 分程度）してから管理コンピュータの < Ente 「> 羊一を押 
すと、管理コンピュータのディスプレイに login プ□ンプトが表示されます。 

管理コンピュータから 「 root 」 と入力し、 「 Password 」 に同捆の 「 root パスワード」に書かれ 
ているパスワードを入力します。□グインに成功すると「#」のプ□ンプトが表示されま 
す。 

I n-O root のパスワードは、基本設定ツールで出荷時のパスワードか5変更してください。詳 
しくはこの後の説明を参照してください。 


これで管理コンピュータの接続ができました。 

JU 降の説明では、管理コンピュータからの操作でシステムをセットアップしていきます。 


管理コンピユータのセットアップと接続 


本体の電源が OFF の状態で、管理コンピュータを本体前面にあるシリアルポート 2( COM 2) l こ接 
続し、システムを起動してください。 

① 本体に接続するために必要なもの 

-シリアルインタフェース ( RS 232 C ) を持ったコンピュータ 
—通信用ソフトウェア（例 ： Windows 98八イパーターミナル） 


セツトアツプ 
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システムのセツトアツ 


Server 自身のホストを， IP アドレス，ルーティング情報など必要な基本設をは、設をツール 
(；/ opt / necfws / bin / fwsetup ) を使って簡単に設定:することができます。 

この設定ツールは管理コンピュータから fwsetup コマンドを入力して起動させます。 

入力は対話形式になっていますので、設定が必要な項目について短時間で設定が巧能です。 


畐本設定 ツールでの 設定項目 

本設定ツールでの設定項目およびそれぞれの制限事項は t (下のとおりです。 

• ホスト名(設定必須） 

ホストをは FQDN 形式で入力してください。 

参インタフェースの IP アドレスとネットマスク（設定必須） 

最低2つの設定が必要です。最大4つのインタフェースの設をが巧能です。3つ目 t (降は 
任意です。途中のインタフェース （ LAN ポート番号）を飛ばしての設定はできません。 

参ネームサーバの IP アドレス(設定任意） 

最大3つのネームサーバを指をできます。本項目を省略した場合はネームサーバじよるア 
ドレス解まを行いません。 

• 管理者のメールアドレス(設定必須） 

1つのメールアドレスのみ設をできます。 

• メールゲートウェイのホスト名または IP アドレス(設定任意） 

システムがメールを送信する時に SMTP 接続するメールサーバの IP アドレスを指定しま 
す。ホストをで指をする場合は FQDN 形式で入力してください。ただし、ネームサーバ 
でそのを前から IP アドレスが引ける必要があります。ネームサーバの IP アドレスを省略 
した場合、本項目は必ず IP アドレスを指をしてください。本項目は省略可能ですが、そ 
の場合は FireWall -1 や二重化機能などシステムが発信するメールは□一カルの「〇饥ユー 
ザー宛てに配送されます。本項目を省略した場合は定期的にメールをチェック、削除 
し、メールじよってディスクを圧迫することがないようにを意してください。また、 
Fi 「 eWall -1 や二重化機能では緊急時にメールで警告を通知することがあるため、本項目は 
必ず設定することをお勧めします。 

• デフォルトゲートウェイの IP アドレス(設定必須） 

1つの IP アドレスのみ設をできます。 

• (静的)ルーティングテーブル(設定任意） 

宛先アドレスとネットマスクおよびゲートウェイの組み合わせを指定します。本項目は 
省略することもできます。最大設定数は1000です。 

動的ルーティングはサポートしません。 
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• ARP テーブル(設定任意ですび NAT 使用時は必須） 

NAT (アドレス変換)後の公開用 IP アドレスを指をします。 NAT 機能を使用しない場合 
は、設定を省略することができます。最大設を数は1000です。 

• Trap 送信巧 IP アドレス(設定任意） 

Trap 送信先 ( ESMPRO / ServerManager ) の IP アドレスを指をします。 ESMPR 0/ 
Se 「 ve 「 Manage 「との連携を行わない場合は設定を省略することができます。最大設定数 
は1000です。 

• NTP (時刻同期)サーバの IP アドレス(設定任意） 

NTP 腊刻同期)サーパの IP アドレスを指定します。本項目は設をを省略することができ 
ます。最大設定数は1000です。 

• Firewall - 1で取得される□グの保管日数(設定必須） 

1〜90日の範囲で設定ができます。 

• 二重化機能の設定(設定任意） 

二重化構成を使用する場合に設ちします。詳しくは r 二重化構成について」を参照してく 
ださい。 

• root ユーザーのパスワード変更(設定任意） 

省略できますが、セキュリティ上、変更することをお勤めします。 

• 現在の時刻設定(設定任意） 

省略できます。 

• サービスの起動と停止(設定必須） 

起動時に必要なサービスを起動、および不要なサービスを停止させるための設をができ 
ます。必ず1度は実行してください。 

■ n-O 上記の設定後は、本体を再起動させてください。 

I BTO 


セットアップ 
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設定ツールによる畐本設定 

W 下のネットワーク構成を例にして基本設をツールの使い方を説明します。設定は root ユー 
ザーで行います。 


2已4 


202.247.5.0 



ルータ 


2占126 


127 

NAT 公開アドレス 
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# /opt/necfws/bin/fwsetup .. 

Firewall Server configuration tool Ver.1.4 
hostname : fws.nec.co.jp . 


.① 

.② 


interface address(1) ： 192 . 168 . 1.126 
netmask(1) ： 255 . 255 . 255.0 
interface address(2) ： 202 . 247 . 5.126 
netmask(2) ： 255 . 255 . 255.0 
interface address(3) ： 172 . 16 . 1.126 
netmask(3) : 255 . 255 . 255.0 
interface address(4): 

No. IF address netmask 

1 202,247,5，126 255.255.255.0 

2 192 ， 168 ， 1 ， 126 255.255.255.0 

3 172.16 .1.126 2 已已 . 2 已已 .2 已已 .0 


("a"=add | "m num"=modify | "d num"=delete 



=list I Enter=next) 


nameserver(1) ： 192 . 丄 68.1.2 . 

nameserver(2) : 

No. nameserver address 
1 192 ， 168,1，2 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) 

administrator e-mail address: xyz@nec.co.jp . 


use mail gateway? (y/n)[n] : y 
mail gateway :192.168 .1.2 


⑥ 


.⑥ 

⑦ 


①設をツールを起動する。 

③ホストをを設定する。 

ホストをは FDQN で入力してください。 

③ LAN ポート別に IP アドレスとネットマスクを設定する。 

(1) 用 に)用 （4) 用 （3) 用 






nnnnnnnnnnnnnnn 


白も 


ここに示すネットワーク構成例では4ポート目 （4) は r 予備」なので何も入力せずに 
< EntGr >^ 一 を押してス羊、ソプしてし^ます。 

④設定した内容をリストで表示。 

複数項目を設定した場合は、設を後に一覧表を表示します。一覧から設を内容の追ぶ、 
および修正、削除、一覧表の再表示を车一入力から操作できます。 

く八>キー+ く Ente 「>+ —： ポートの設定!を追力□する。 

< M > キー+「変更するポート番号」+ <£が6「>车一:指定したポートの設定を変更する。 
< D > 丰一+「削除するポート番号」+ <£|^ぉ「>羊一:指をしたポートの設定を削除する。 
< L > 羊 一 + < Enter >+— : リストを再表示する。 

< Ente 「> キー： 次の項目へスキップする。 

⑥ネームサーバの IP アドレスを鼓をする。 

⑥ 管理者のメールアドレスを設定する。 

⑦ メールゲートウェイの IP アドレスを設をする。 

< Y > 羊一を押して値を入力します。省略する場合は < N > 羊一を押してください。 


セットアップ 
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① 






口し し丄し丄 L 4. し丄1 ----------------------------------------------------------------------------------------------------------------------- 

destination(1) ： 192.168 .2.0 — 


rietmasKtij : zdd.zdd.zdd.u ■■■■■■■■■...■ 

gateway(1) ： 192 . 168 .1.254 — 

destination(2) : 202.247.5.127 — 

np1-m が k ( つ） . バ 5 バ 5 バ 5 バ 5 . 


gateway(2) ： 172.16 .1.2 — 

destination(3) : 

No. destination netmask gateway 

1 192.16 8.2.0 2 己己， 2 己己， 2 己己 ， 0 192 . 168 . 1.254 

2 202,247 ，己 ，127 2 己己， 2 己己， 2 己己， 2 己己 172 ， 16 .1.2 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 

proxyarp(l): 202.247.5.127 . 


proxyarp(2): 

No. proxyarp IP address 

1 202.247 ，己 . 127 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 

trap sink host (1): 192.168 .1.10 .. 


trap sink host(2 )： 

No. trap sink host 

1 192.168 .1.10 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 

NTP server address(1) ： 192.168 .1.3 . 


NTP server address(2): 

No. NTP server address 

1 192.168 ， 1. 3 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 



①デフォルトゲートウェイの IP アドレスを設をする。 

③ルーティングテーブルを設定する（任意）。 

後述の r アドレス変換のためのルーティングテーブル、 ARP テーブルの設定」も参照して 
ください。 

③ 宛先の IP アドレス、ネットマスク、およびそのネットワークへのゲートウェイアドレス 
を設定する。 

④ destination に NAT 後の IP アドレス(公開アドレス)を、 gateway に NAT 前の IP アドレス(実 
アドレス)を設定する。 

NAT のためのルーティングの設定では netmask じは255.255 .255.255 を指をします。 

NAT の対象ホストが別ネットワークに存在する場合、 gateway にはそのネットワークへ 
のゲートウェイアドレスを設定します。 

⑥ ARP テーブルを設定する （NAT 使用時は必須)。 

NAT 後の IP アドレス（公開アドレス）を設をしてください。 

⑥ trap 送信先 IP アドレスを設をする（任意）。 

ESMPRO / ServerManage^syvx I ■■'―ルされているマシンの IP アドレスを設定してく 
ださい。 

⑦ NTP 偏刻同期）サーパの IP アドレスを設をする（任意)。 
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log file rotation(days): 90 . 

Use cluster system? (y/n) [n] : .. 

once again input? (y/n)[n] : . 

change root password? (y/n)[n] : y . 

Changing password for user root 
New UNIX password : 

Retype new UNIX password : 

passwd : all authentication tokens updated successfully 
Mon May 2116:48:44 JST 2001 

set date and time? (y/n)[n] : y . 

date and time (MMDDhhmm[[CC]YY]) ： 05191653 
Mon May 2116:53:01 JST 2001 
set date and time? (y/n)[n] : 

replace startup-scripts? (y/n)[n] : y . 

Please reboot the system. 

#shutdown -r now. 


① FireWall -1 で取得される□グの保存日数を設定する。 

② ここでは二重化機能の設をは行いません。二重化構成を構築する場合でも、ここでは必 
ず、く N >车一を押してください。 

③ ここまでの設を項目について設をを変更したいときは、く丫>车一を押す。次に進む場合 
は、 < N > 车一を押す。 

④ 化荷時に設定されているパスワードを変更する（任意)。 

I n-O • セキュリティのためにも、出荷時のパスワードか5変更することをお勧めしまず。 
• パスワードは推測されにくく覚えやずいものを用意してください。 

⑥時刻の設定を変更する（任意)。 

⑥必要な サービスの起動および不要なサービスの停止を行う（必須）。 

ここでは必ず < Y > 丰一を押してください。 

⑦設定を有効にするため、システムを再起動する。 


① 

.② 

.③ 

.④ 


⑥ 


，⑥ 


セ 

ツ 

卜 

ア 

ツ 

プ 


，⑦ 


57 














Firewall-1 モジュールの展開 

管理コンピュータから次の手順で FireWall -1 のモジュールを展開します。 


# cd /opt/necfws/RPMS . 

# rpm -i CPshrd-50-00.1386.rpm . 

# rpm -i CPfwl-50-00.1386.rpm . 

*********************************************************************** 

Important - DON'T FORGET TO ： 

Log in again and run cpconfig in order to register the 

license and configure Check Point VPN-1/FireWall-1 NGFeature Pack 1. 


# shutdown -r now 


①ディレクトリを変更する。 

③ SVN FoundatiorXCPshared ) パ、ソケージを展開する。必ず Fi 「 eWall -1 のパ、ソケージより 
ち前に展開して<ださい。 

③ Firewall - 1パッケージを展開する。 

④ 終了後、再起動する。 


①屋資 ④ 
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円 re Wa ll - l のコンフィグレーション 

次に管理コンピュータから Fi 「 eWall -1 付属の cpconfig 〕 マンドを実行します。 
じ(下の手順でコンフィグレーションを行ってください。 


# cpconfig 

Welcome to Check Point Conflauration Program 


Please read the foilwing license agreement. 
Hit 'ENTER' to continue.... 


Do you accept all the terms of this license agreement? (y/n) [y] ? y 

which Module would you like to install? 


(1) VPN-1 & Firewall-1 Enterprise Primary Management and Enforcement Module 

(2) VPN-1 & Firewall-1 Enforcement Module 

(3) VPN-1 8c Firewall-1 Enterprise Primary Management 

(4) VPN-1 8c Firewall-1 Enterprise Secondary Management 
(1)VPN-1 8c Firewall-1 Enterprise Log Server 

Enter your selection (1-5/a)[1] : 1 . 

IP forwarding disabled 

Hardening OS security: IP forwarding will be disabled during boot. 
Generating default niter 
Default Filter installed 

Hardening OS Security: default filter will be applied during boot. 

This program will guide you through several steps where you 
will define your VPN-1 & FireWall-1 configuration. 

At any later time, you can reconfigure these parameters by 
running cpconfiq 


①く Ente 「> キーを 押す。 

使用許諾書が表示されますのでお読みください。 

③使用許諾に承認した場合は < Y > 羊一を押す。 

③インス!-ールするモジュールを選択する。 

通常は1を選択し、一体型構成でインストールします。 

Firewall - 1管理モジュールを別マシンにインス I -ールして管理する、分散型構成でインス 
トールする場合は2を選択してください。二重化のために分散型構成でインストールする 
場合、 W 降の設を内容については r 二重化構成について」を参照してください。 


セットアップ 

① ② 


③ 
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Configuring Licenses... 


Host Expiration Features 

Do you want to add licenses (y/n) [n] ? y . 

Do you want to add licenses [M]anually or [F]etch from file: m 

IP Address ： 202.247 .5.126 - 

Expiration Date : 

Signature Key: 

SKU/Features : - 

License was added successfully 
License will be put into kernel after cpstart 


Configuring Administrators... 


No VPN-1 Sc Firewall-1 Administrators are currently 
defined for this Management Station. 

Administrator name : fws-admin - r 

Password ： . 

Verify Password ： - i 

Permissions for all Management Clients (Read/[W]rite All,[R]ead Only 
All,[C]ustomized) W 

Administrator fws-admin was added successfully and has 
Read/Write permissions to all management clients 

Add another one (y/n) [n] ? n . 

Configuring GUI clients... 


GUI clients are trusted hosts from which 

Administrators are allowed to log on to this Management Station 
using Windows/X-Motif GUI. 

Do you want to [C]reate a new list, [A]dd or [D]elete one? : c .. 

Please enter the list hosts that will be GUI clients. 

Enter hostname or IP address, one per line, terminating with CTRL-D 
or your EOF character. 

192.168 .1.99 

Is this correct (y/nj [y] ? y . 


① 

② 

③ 


④ 


⑥ 


⑥ 


⑦ 


①く Y > キーを入力して、ライセンスを追力□する。 

③ < M > 羊一を入力して、ライセンスをを画面から（マニュアルで)登録する。 

③ 事前に取得したライセンス情報を入力する。 

ライセンスは、 Firewal に erver のライセンス製品に添付されている r ライセンス申請書」を 
NS - Sol へ FAX して取得してください。本製品 ( N 8100 -845) には r ライセンス申請書」は含 
まれていません (「 Firewal に erver の製品体系」を参照してください)。 

④ Firewal に erver ( Firewall -1) の管理者を、およびパスワード、属性を設をする。 

⑥管理者を追力□する場合は、く¥>车一を、登録を終了する場合は < N > 车一を押す。 

⑥ < C > キーを入力して、クライアントマシンのリストを新規作成する。 

⑦ セ羊ュリティポリシーの設定を行うクライアントマシンの IP アドレスを設をする。 

複数の IP アドレスを設をする場合は改行して複数行入力します。入力を終了する場合は 
く Ctrl 〉 ベ D > 丰一を押します。 
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⑥入力したアドレスが正しければ < Y > 丰一を押す。 






















Configuring Groups... 


VPN-1 Sc Firewall-1 access and execution permissions 


Usually, a VPN-1 & FireWall-1 module is given group permission 
for access and execution. 

You may now name such a group or instruct the installation 

procedure to give no group permissions to the VPN-1 & FireWall-1 module. 

In the latter case, only the Super-User will 

be able to access and execute the VPN-1 & FireWall-1 module. 

Please specify group name [<RET> for no group permissions] : . 

No group permissions will be granted. Is this ok (y/n) [y] ? y . 

Setting Group Permissions... Done. 


Configuring Random Pool... 


You are now asked to perform a short random keystroke session. 
The random data collected in this session will be used in 
various cryptographic operations. 

Please enter random text containing at least six different 
characters. You will see the symbol after keystrokes that 

are too fast or too similar to preceding keystrokes. These 
keystrokes will be ignored. 

Please keep typing until you hear the beep and the bar is full. 

[ . ] . 

Thank you. 


Configuring Certificate Authority... 


The system uses an internal Certificate Authority 

to provide Secured Internal Communication (SIC) Certificateies 

for the components in your System. 

Note that your components won't be able to communicate 

with each other until the certificate Authority is initialized 

and they have their SIC Certificate. 

Press 'Enter' to initialize the certificate Authority.... 

Internal Certiricate Authority created successfully 
Certificate was created successfully 
Certificate Authority initialization ended successfully 


① Firewal に erver では通常グループを作成しないのでく Enter 〉 羊一を押して続ける。 

② く Y > 羊一を押して続ける。 

③ バーがフルになるまでランダムキーを入力する。 

④ インターナル CA(Certificate Authority ) の設をを行う。 

く Ente 「>+ —を押して < ださい。 


セットアップ 


①愛 


③ 


④ 
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Configuring Certificate's Fingerprint... 


The following text is the fingerprint of this Management machine : 
XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX . 


Do you want to save it to a file? (y/n) [n] ? n 

generating GUI-clients INSPECT code 
initial—management: 
compiled OK. 

Hardening OS Security: Initial policy will be applied 
until the first policy is installed 

In order to complete the installation of module 
you must reboot the machine. 

Do you want to reboot? (y/n) [n] ? y . 


① 


① GUI クライアントを接続したとき、接続した Fi 「 eWall -1 が正しいものであるかを磕認する 
ための文字列が表示される。 

この文字列をディスク上に保存する場合は、 < Y > キーを、保存しない場合は、く N > キー 
を入力します。 

② 終了後、再起動する。 

t (上で Firewal に erver の基本設定が終了しました。この後、 GUI クライアントからポリシーの 
設をを行います。 
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NAT のためのルーティングテーブル- ARP テーブルの 設定[参考] 

DMZ 上や□一カルネ、ソト内のサーバのアドレスを静的に NAT (アドレス変換）し、インター 
ネット上に公開する場合、ルーティングテーブルと ARP テーブルの設をを別途おこなう必要 
があります。 

構成例の場合、 DNS / Mail サーバと、公開用 WWW / FTP サーバが該当するホストになりま 
す。 

じ(下のように設定します。 


I 202.247.己.127 
■ r (NAT 後の IP アドレス） 


202.247.己.12巨 



ルーティングテーブル 

前述の図のように、172.16 .1.2 のアドレスを202.247 .5.127 じ変換し、バリアセグメント 
上のホストじ見立てる場合、じ(下のようなルーティングテーブルを追力□する必要がありま 
す。 

destination 202.247 .5. 127 
(netmask 255.255 .255.255) 

gateway 172.16 .1.2 

変換後のアドレスを destination 、 実際のアドレスを gateway に指をしてください。 
fwsetup の static routing の項目で設定することができます。 

NAT の対象ホストが別ネットワークに存在する場合、 gateway じはそのネットワークへの 
ゲートウェイアドレスを設定します。 

ARP テーブルの設定 

インターネット上のホストとアドレス変換されたホストとが通信をする場合、さらに変換後 
アドレスに対する MAC アドレスが Fi 「 ewallSe 「 ve 「の外側インタフェースじ付けられている 
MAC アドレスであるという対応づけが必要です。 

fwsetup の proxyarp じ変換後のアドレスを指をすることで自動的じ設をすることができま 
す。 


Linux 版 Firewall- 1 Next Generation では、 Ver.4.1 と同様にルーテイングと ARP テー 
ブルの設定を行う必要びあります。 
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七キユリテイポリシーのセットアップとインストール 


セキュリティ機能をセットアップする 「Policy Editor 」 をクライアントマシンにインス I ル 
し、編集したポリシーをインス!-ールします。 

次の条件を満たすコンピュータじ Policy Editor やその他のツールをインストールして、クラ 
イアントマシンとして使用します。 


オペレーティングシステム: 


♦ ディスク空き容量: 
♦ メモリ： 


Windows XP Home/professionak 
Windows 98/ Me 、 

Windows NT 4.0 Workstation ( SP 6 a ). 
Windows NT 4.0 Se 「 ve 「( SP 6 a )、 

Windows 2000 P 「 ofessional ( SP 1 、 SP 2)、 
Windows 2000 Se 「 ve 「( SP 1 、 SP 2)、 

Windows 2000 Advanced Se 「 ve 「( SP 1 、 SP 2) 

40 MBtLt 

128 M 目 tLt 


* 上記は2002年 3 月現在の情報です。今後のパッチリリースにより変更になる可能性があり 
ます。 

クライアントマシンへのインス I -ール 

クライアントマシンに Policy Editor をインストールします。ここでは 、 Policy Edito 「といつ 
しょに□グを解析するためのツール 「Log Viewer 」 とシステムの状態をチェックするに ystem 
Status 」 もインス I '''ールします。 


コンピユータの CD-ROM ドライブ(こ Check Point Next Generation CD-ROM をセツトする。 
自動的にインストールプ□グラムが起動し、画面が表示されます。 

インストールプ□グラムが起動しない場合は ¥ wrappers ¥ windows フォルダにある 
「 demo32.exe」 を実巧してください。 


2. [Next] をクリックする。 

使用許諾契約書が表示されます。 

3. 内容をよく読み、同意する場合は [Yes] 
をクリ 、ソク する。 

同意しない場合は [No] をクリックして終 
了します。 

プ□ダクトメニューの画面が表示されま 
す。 

4. [SERVER/GATEWAY COMPONENTS] 
を選択し、 [Next] をクリックする。 



プ□ダクト選択の画面が表示されます。 


ミ 
ち A 

ピ【一 
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己 . [Management Clients ] のみをチェック 
して [ Next ] をクリックする。 

その他のコンポーネントのチェックは 
外します。 


巨.ち図の内容が表示されていることを確認 
し、 [ Next ] をクリックする。 

インストール先のフォルダを指定する画 
面が表示されます。 

7. 必要に応じてフォルダを変更し、 [ Next ] 
をクリ 、ソク する。 

インストールするコンポーネントを選択 
する画面が表示されます。 


8 . [Policy Editor ] と [Log Viewer 」、 
に ystem Status ] をチェックし、 [ Next ] 
をクリ 、ソク する。 

インストールが開始されます。 

9. インストール完了メッセージが表示され 
た6 [0 K ] をクリックして終了する。 





< Back I Next> j 
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セキュリティポリシーの設定 

Policy Editor を使用し、 Firewal に erver と接続してポリシーを作成します。ネットワーク構 
ぶに応じたポリシールールを作成してください。 

Policy Editor の使い方については Fi 「 eWall -1 じ付属のマニュアルを参照してください。 

W 下にポリシールールの例を説明しますが、ここで説明するルールは一例であり全ての環境 
に適用できるものではありません。また、ここで説明するルールは動作を保証するものでは 
ありません。予めご了承ください。 


Policy Editor での□グイン 

Policy Editor を起動し、 cpconfig で登録したューザーさ)とパスワード、および 
Firewal に erver の内側(管理クライアント側)のアドレスを入力します。 



船站 UiciU Point 
Policy Editor 


却 !^^^: 


…し 


Identification Method 


(*. User Name - (tws-admin 

， . 占 - ._ 

-C Certificate ： /... j ' 卜 

二 -.皮,.— ’ r .ゴ .. . 

ご Connect to Server -: .nr 

Password ： 




Management Server ： : J1 92.160 .1.126 


OK 


み I 


Read 

Only . r " 


More Options » 


Quit 


ネットワークオブジェクトの作成 

ポリシールール作成に必要なネットワークオブジェクトを作成します。 

54ページのネットワーク構成例では U 下のネットワークオブジェクトを作成します。 


ネットワーク 

localnetl 

ネットワークアドレス： 

192.168 .1.0 


ネットマスク： 

255.255 .255.0 


NAT 

Translation method : 

Hide 


Hiding IP Address : 

202.247 .5.126 


localnet 2 

ネットワークアドレス： 

192.168 .2.0 


ネットマスク： 

NAT 

255.255 .255.0 


Translation method : 

Hide 


Hiding IP Address : 

202.247 .5.126 
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DMZnet 


ネットワークアドレス: 
ネツトマスク： 


172.16 .1.0 
255.255 .255.0 


内部ネットワークから NAT 変換を行って外部にアクセスする場合は、 「 NAT 」 タブで 「Add 
Automatic Address Translation rules :」 (こチェ、ソクをし 、 「Translation method :」 を 
Hide、「Hiding IP Address 」 にファイアウォールの外側のインタフェースのアドレスを 
入力します。 

その他に内部ネットワークがあればさらにオブジェクトを作成します。 


♦ ワークステーション 


WebFtpServer 

IP アドレス： 

NAT 

172.16 .1.2 


Translation method : 

Static 


Network valid address : 

202.24 7.5 .に 7 

DnsMailServer 

IP アドレス： 

NAT 

172.16 .1.3 


Translation method : 

Static 


Network valid address : 

202.247 .5.128 

LocalDnsServer 

IP アドレス： 

192.168 .1.2 

ESMPROMgr 

IP アドレス： 

192.168 .1.10 


ホストを外部に公開する場合は、 「 NAT 」 タブで 「Add Automatic Address Translation 
rules 」 (こチェ、ソクをし 、 「Translation method :」 を Static、「Network valid address :」 (こ 
公開用の外部アドレスを入力します。 

その他にポリシールール作成に必要なワークステーシヨンが存在する場合はさらにオブ 
ジェクトを作成します。 

♦ グループ 

LocalNet-G In Group : localnetl 、 localnet 2 
内部のネットワークを 1 つのグループにまとめて登録します。 

その他にポリシールール作成に必要なグループがある場合はさらにオブジェクトを作成 
します。 


セットアップ 
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• サービスグループ 

InternetServices In Group : ftp 、 http、https 

SilentServices In Group : NBT ( nbdatagram . nbname 、 nbsession )、 

bootp 

ポリシールール作成で 1 行のルールに複数のサービスを記述する場合などは、サービスの 
グループをを義することでルールを簡潔に記述することができます。 

上記は、内部からインターネットにアクセスを許巧するサービスのグループと、内部 
ネ 、ソ トワークにブ□ー ド羊ヤストで流れているサービスで□グに記録する必要のない 
サービスのグループを作成し ます。 


ファイアウオールオブジェクトの設定 

ファイアウオールのオブジェクトは、最初に Policy Editor で接続したときに自動生成されます。 
自動作成されたファイアウオールオブジェクトはそのままでは IP Spoofing (アドレス詐称) 
の対応がされていないため、 Anti - Spoofing の設をを行います。そのためには、をインタ 
フェースの先にどのネットワークが存在するかを登録 ( Topology を設定)する必要があります。 

ファイアウオールオブジェクトのプ□パティの 「 Topology 」 ぺージを開き、をインタフェー 
スを選択して [Edi し.] をクリックします。 
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[Interface Properties 」 ウィンドウが表示されるので、 「 Topology 」 タブで適切な設定を行い 
ます。 


内側のインタフエースの場合は 「 Internal 」 を選択し、内部が単ーネットワークの場合は 
「Network defined by the interface IP and Net Mask 」 を、複数ネットワークの場合は 
「 Specific 」 を選択します。に pecific 」 を選択した場合は、内部ネットワークのグループ(上記 
で作成した LocalNet - G ) を指定します。 

また 、 「Perform Anti-Spoofing based on interface topology 」 にチェックをします。 



外側のインタフェースの場合は 「 External 」 を選択します。 

また 、 「Perform Anti-Spoofing based on interface topology 」 にチェックをします。 
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DMZ のインタフェースの場合は rintemaU および 「Network defined by the interface IP and 
Net Mask 」 を選択します。 

まに 、 「Perform Anti-Spoofing based on interface topology 」 にチェックをします。 

もし DMZ が複数のネットワークで構成されている場合は、前述の内側のインタフェースの 
設定と同様に DMZ ネットワークのグループを用意し、に pecific 」 を選択して DMZ のネット 
ワークグループを指をします。 



ポリシールールの作成 

オブジェクトの作成が終わったらポリシールールを作成します。 
W 下はポリシールールの例です。 
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をルールの意□末は]: i 下のとおりです。 


1. ESMPRO / ServerManager 75) Wx 卜ールされているマシンから、 SNMP で 
Firewal に erver の監視ができるように許巧する。 

2. その他の Firewal に erver 自身へのアクセスは全て拒否する。 

3. 内部ネットワークのクライアントから DMZ 上のメールサーバに対してメールの送受信が 
できるように許可する。 

4. インターネット上のホストから DNS 要求を受けられるように、また、メールを受信でき 
るように許可する。 

5. 4とは逆に、 DNS 要求を化せるように、また、メールの配信ができるように許巧する。 
このとき、 DnsMailServer から内部ネットワークへはアクセスができないよう、 
LocalNet - GJU 外へのアクセスを許可します。 

6. 内部 DNS サーバからインターネット上の DNS サーバに対して DNS 要求が化せるように許 
巧する。 

7. インターネットおよび内部のネットワークから Web / FTP サーバに対して HTTP、FTP 
のアクセスができるように許可する。 

8. DMZ から内部ネットワークへはアクセスを拒否する。 

9. (上記で設をしたルールじ(外で)内部ネットワークから DMZ へはアクセスを拒否する。 

10. 内部ネットワークからインターネ、ソトに対して InternetServices に登録されたサービス 
のアクセスを許可する。 

11. SilentServic がに登録されたサービスはアクセスを拒否し、□グは表示しない。 

12. 上記 W 外のアクセスは全て拒否する。 

セキュリティポリシーのインス I -ール 

ポリシー作成後、 「 Policy 」 一 rins ね II ..」を実行してセキュリティポリシーをインストールして 

ください。 
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公開ヴーノ（を二重化する場合の設定 

内部ネットワークまたは DMZ ネットワークに設置されている公開サーバを二重化する場合、 
Firewall- 1のポリシー設をにを意が必要となります。 

ここでは前述のポリシー設をにおいて、 D M Z ネットワーク上のメールサーバ 
( DnsMailServer ) が CLUSTERPRO Lite ! for Linux により二重化されている MailWebServer 
と仮をして、ポリシーの追力□設をの内容を説明します。 

• ま意点 

-インターネットから公開サーバに通信させる場合のを意 

CLUSTERPRO Lite ! では2台の公開サーバの実 IP アドレスとは別に仮想 IP アドレス 
を設定します。 Firewall- 1で静的 NAT の設をを行う際、 NAT の実 IP アドレスとして 
は CLUSTERPRO Lite ! で設定した仮想 IP アドレスを指定する必要があります。（公開 
サーパのオブジェクトは、 CLUSTERPRO Lite ! で指定した仮想 IP アドレスで作成し 
ます。） 


-公開サーバから内部ネットワークあるいはインターネット上のホストに通信させる 

ふな □ の注届； 

CLUSTERPRO Lite! で二重化されたサーバから他のホストに対して通信を行う場 
合、接続元の IP アドレスはをサーバの実 IP アドレスになります。そのため、 
Firewall- 1のポリシーではをサーバの実 IP アドレスからの通信を許可するためのルー 
ルが必要になります。（をサーバの実 IP アドレスのオブジェクトを作成し、このオブ 
ジェクトからのアクセスを許可します。） 

M-O サーバの二重化については製品によってその方法び異なります。ご使用の二重化製品の説明 
書をよく読み、通信の動作を理解した上で Firewall - 1のポリシー設定を行ってください。 


• 構成例 



内部ネットワーク 



仮想ホスト 


MailWebServer + 
CLUSTERPRO Lite! 


MailWebServer + 
CLUSTERPRO Lite! 
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• 設定内容 


上記構成例で MailWebServer を二重化する場合の設をはじ(下になります。 

前述の r セキュリティポリシーの設を」のポリシー設を例ではじ(下の1は設を済みなので、 

2と3の設をを行います。 

1. 公開用のメールサーバのオブジェクト （ DnsMailServer ） を仮想 IP アドレス 
(172.16.1.3) でを義し、 NAT の設定を行う。 

2. MailWebServer のオブジェクトをそれぞれをサーバの実 IP アドレスでを義する。 


DnsMailServer-master 

DnsMailServer-slave 


172.16 .1.11 

172.16 .1.12 


3. 接続元がメールサーバとなる通信を制御する場合は、 Source を DnsMailServer - 
master 、 DnsMailServer - slave としてポリシールールを設定:する。 

前述までのポリシーに対して変更を力□える場合は、ルール N 0.5の Source を]: rF のよ 
うに変更します。 


Lj DnsMailServer-master 
Lj DnsMailServer-slave 


K 


LocalNet-G 


固 dns 
^ smtp 


巧 accept 


圓ぃ g 
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セキュリティポリシーのパックアッ 



万一の故障による再インストールに備えて、設定したセキュリティポリシーのバックアップ 
を作成します。 


fwsetup コマンドにより設定したシステムの基本設定やクライアントマシンで編集したポリ 
シーをバックアップするためじは W 下のファイルをバックアップする必要があります。 

• / opt / necrws / etc / fws.ini 

• / us 「/ duste 「 p 「 o / ae / etc / caeconf.ini (二重化構ぶ使用時） 

• / etc / fw / conf / 配下 

• / etc / fw / database / 配下 

• / etc / fw / lib / 配下 （*. so を除く） 


これらのファイルを自動的に DOS フォーマットしたフ□、ソピーにバックアップするため、 
/ opt / necfws / bin / じ fwbackup コマンドを用意しています。 


このコマンドをコンソールから実行するとフ□、ソピーディスクのセットを促すメッセージが 
表示されます。 

メッセージに従いフ□、ソピーディスクをセットして < Erite 「> キーを押すと、後は自動的にフ 
□、ソピーディスクへバックアップします。 

バックアップコマンド実行時、バックアップに必要なフ□、ソピーの枚数が表示されるので、 
必要数のフ□、ソピーディスクをあらかじめ用意してください。 

通常はフ□、ソピーディスク1枚でバックアップ可能ですが、ポリシーのルール数やユーザー 
登録数が極端にをい場合などは1あに保存できないことがあります。ファイルがフ□ッピ ー 
ディスク1おに保存できない場合には、複数枚のフ□、ソピーディスクに分割してバックアッ 
プコピーを行います。メッセージじ従ってフ□、ソピーディスクを入れ換えてください。 


n-O バックアップディスクには、必ず DOS フォーマット （1.44 MB ) 済みのブランクディスクを 
使用してください。 

フ □、ソピー ディスクを 
本体にセツトし、 


二重化構成を使用しな 
し''場合は表 w されなし'' 



リストアに関しては、「システムの再インス I -ール」を参照してください。 
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ESMPRO/ServerAgent のセツトアツ 


ESMPRO / ServerAgent は化荷時にインス I -- ル済みですが、固有の設定がされていませ 
ん。6章を参照してセットアップしてください。 


システム情報のバックアッ 



システムのセットアップが終了した後、添付の r 保守-管理ツール CD - ROM 」 にあるオフライ 
ン保守ユーティリティを使って、システム情報をバックアップすることをお勧めします。 
システム情報のバックアップがないと、修理後にお客様の装置固有の情報や設定を復旧（リ 
ストア）できなくなります。次の手順に従ってバックアップをしてください。 


保守-管理ツール CD - ROM か5システムを起動して操作します。保守-管理ツール CD - 
ROM か 5 起動させるためには、 事前にセットアップび必要です。己章を参照して準備して 
<ださい。 


1. 3. 日インチフ□、ソピーディスクを用意する。 

2 . 装置に添がの r 保守-管理ツール CD-ROM」 かオフライン保守ユーティリティ」を起動する。 
「保守-管理ツール CD-ROM」 の使い方(こついては日章を参照してください。 

3. [システム情報の管理]か6 [退避]を選択する。 

じ(降は画面(こ表示されるメッセージ(こ従って処理を進めて < ださい。 


続いて管理コンピュータに本装置を監視 
す。次ページを参照してください。 


管理するアプリケーションをインス I -ールしま 


セットアップ 


75 






管理コンピユータのセットアップ 

本装置をネットワーク上のコンピュータから管理-監視するためのアプリケーションとして、 「 ESMPRO / 
ServerManager 」 と fManagement Workstation Application ( MWA ) 」が用意されています。 

これらのアプリケーションを管理コンピュータにインス I -ールすることによりシステムの管理が容易にな 
るだけでなく、システム全体の信頼性を向上することができます。 

[51\/|ド1^0/56「ソ6「1\/|311396「のインストールについては6章を参照してセットアップしてください。 

MWA のインス I -ールについては5章、または保守-管理ツール CD - ROM 内のオンラインド车ュメントを参 
照してください。 
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再セットアップ 


再セットアップとは、システムの破損などが原因でシステムが起動できなくなった場合などに、添付の 
r バックアップ CD - ROM 」 を使って八ードディスクを化荷時の状態に戻してシステムを起動できるようにす 
るものです。 u 下の手順で再セットアップをしてください。 



ンの作ぶ 


「保守用パーティション」とは、装置の維持-管理を行うためのユーティリティを格納するた 
めのパーティションで、 16 MB 程度の領域を内蔵八ードディスク上へ磕保します。 

Firewal に erver の信頼性を向上するためにも保守用パーティションを作成することをお勧め 
します。 

保守用パーティションは、添付の r 保守•管理ツール CD - ROM 」 を使って作成します。詳しく 
は5章を参照してください。 

保守用パーティションを作成するプ□セスで保守用パーティションへ自動的にインストール 
される ユー ティリティは、「システム診断 ユー ティリティ」と r オフライン保守 ユー ティリ 
ティ」です。 


再セットアップモードへの変更 


本装置は、システムの起動が正常に行われたかどうか常に監視をし、起動に失敗した場合は 
システムの再起動を試みる機能が備わっています。再インス!-ール中は、システム起動監視 
機能を無効にする必要があります。 

本機能の有効/無効は、添付の r 保守•管理ツール CD - ROM 」 を使って変更します。詳しく 
は、6章を参照してください。 

I a-O 再セットアップび完了した5、システム起動監視機能を有効に戻してください。 


システムの再インストール 


ここでは、システムの再インストールの手順について説明します。 

二重化構成を構築している場合は、再インス!-ールの手順が異なります。再インス!-ールの 
手順10までを行った徽ま r 二重化構成について」の二重化構成の再セツトアップを参照してく 
ださい。 


再インストールを行うと、サーバ内の全データび消去され、出荷時の状態に戻ります。必要 
なデータびヴーバ内に残っている場合、データをバックアップしてか5再インストールを実 
行してください。 


セットアップ 
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再インストールの準備（コンソール接続） 

作業を行うためにはコンソールが必要です。本体の電源が OFF の状態で、お手持ちのパソコ 
ン（管理コンピュータ）を本体前面の シリアルポー ト 2( COM 2) に接続してください。 


FirewallServer との接続に必要なもの 

• シリアルインタフェース ( RS 232 C ) を持ったコンピュータ 
• 通信用ソフトウェア（例： Windows 98 八イパーターミナル） 

• シリアルケーブル（ク□ス） 

K 210 -84(05 X 9 pin -9 pin )、 または K 208 -12(03) (9 pin -25 pin ) のうち、お手持ちのコン 
ピュータに合ったケーブルを使用してください。 

ケーブルの接続 

本体前面じあるコネクタにシリアルケーブル（ク□ス）を接続してください。 

ターミナルエミユレータの設定 

ターミナルエミュレータのパラメータはじ(下のように設定してください。 

ボーレート： 19,200 bps 

パリティ： なし 

羊ヤラクタ長： 8 bit 

ストップビット：1 bit 


再インストールに必要なディスク 


あらかじめ W 下のディスクを用意してください。 

• 0 S CD-ROM 

• バックアップ CD-ROM 

• Check Point Next Generation 
• 再インス!-ール用ディスク 

• セキュリティポリシーのバックアップディスク（任意) 


再インストールの手順 

次の手順に従って再インス I -ールします。 

1 . 本体前面にあるフ□、ソピーディスクドライブじ再インストール用ディスクをセットし 
円 rewallServer を再起動する。 

管理コンピュータのディスプレイに比0饥:]の表示が化るまで待ってください。 

2. [boot:] の表示がでた6すぐに CD-ROM ドライブ(こ OS CD-ROM をセットする。 

自動的にプ□グラム CD-ROM か6のインストールが始まります。インストールは約10分で完了し 
ます。 

インストールを完了すると、ディスプレイにインストールの完了を通知するメッセージが表示さ 
れます。 
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3. <Ctrl> - <D> キーを押す。 

自動的(こ再起動が開始されます。再起動を開始した6、セットしたフ□、ソピーディスクと CD- 
ROM を本体か6取り化してください。 


>> install finish, press Ctrl+D 
bash# . 


ここで < Ct 「 l > - < D > キーを押ず 

4. 再起動開始か 6 約 3 分程度経過した6、管理コンピュータの <Enter> キーを押す。 

己. login プ□ンプトが表示された6、 「root」 と人力し、 Password に添付品の 「root パスワード」(こ書 
かれているパスワードを人力する。 

□グインに成功すると!:#]のプ□ンプトが表示されます。 

目. CD-ROM ドライブにバックアップ CD-ROM をセツトし、 ]：rF の手順で ESMPRO/ServerAgent な 
どの追加パッケージを展開する。 


# mount / dev/cdrom 

# /mnt/cdrom/nec/Linux/necsetup 

# cd / 

# umount /dev/cdrom 


7. CD-ROM ドライブか 6 バックアップ CD-ROM を取り化す。 

8 . <あ6かじめバックアップしておいた設定をリストアする場合> 

下のコマンドを実行して基本設定をする。 

設定をバックアップしたフ□、ソピーディスクを本体にセツトしてください。 


二重化構成を使用して 
いない場合は表示され 
ない 


# /opt/nec£ws/bin/£wrestore - i 
Please insert Dackup £ioppy disk. 

Press enter key. - 

restore fws.ini 


(# 1 ) 




バックアップディスクをセツトして 
< Ente 「> キーを押す 


• restore caeconf.ini 
restore completed. 

After turned off FDD access light, Press enter key. 

# /opt/necfws/bin/fwsetup -i /opt/necfws/etc/fws. 

# shutdown -r now 



終了後、再起動する 


フ□、ソピーディスクドライブの 
アクセスランプが消えた6 
< Enter > キーを押し、その後フ 
□、ソピーディスクを取り出す 


<バックアップのリストアをしない場合> 

「設定ツールによる基本設定(日4ページ)」を参照して基本設定をする。 


セットアップ 


79 







9. CD-ROM ドライブに Check Point Next Generation の CD-ROM をセツトし、 FireWall-1 のモ 
ジュールを]:>(下の手順で展開する。 


# mount /dev/cdrom 

# cd /mnt/cdrom/linux/CPshared - 已〇 

# rpm -1 CPshared- 己 0-00. 1386 .rpm 

# cd /mnt/cdrom/linux/CPFirewall - 已〇 

# rpm - i CPfwl- 已〇 - 00.i3 86.rpm 

# cd / 

# umount /dev/cdrom 


10. CD-ROM ドライブか 6CD-R0M を取り化し、再起動する。 


# shoutaown -r now 


二重化構成を構築している場合、この後の作業は r 二重化構成について」の二重化構成の再セット 
アップ (4 章)(こ従ってください。 

11.cpconfig を実行して円 reWall-1 の設定をする。 

cpconfig (こついては 「Firewall- 1の〕ンフイグレーシヨン」 （59 ぺージ）を参照してください。 
cpconfig の最後で再起動を実巧します。 


# cpconfig 

Do you want to reboot? (y/n) [n] ?y 


12 . < あ 6 かじめバックアップしておいた設定をリストアする場合 > 
J：i 下のコマンドを実巧して FireWall-1 の設定をする。 


# cpstop - RreWalM を语'止 9 る 

# / opt/necrWS/bin/fwrestore -£ 

Please insert backup floppy disk. (#1) 

Press enter key. 

There is 1 floppy disk for restore, 
restore fw config files ... (1/1) 

restore completed. 

After turned off FDD access light, Press enter key. 

# cpstart 


フ□、ソピーディスクドライブのアクセス 
ランプが消えたら < Enter > キーを押し、 

円 reWall - 1 を起動する その後フ□、ソピーディスクを取り化す 



<バックアップのリストアをしない場合> 
Policy Editor を使用してポリシーを作成する。 

13. Policy Editor でポリシーをインストールする。 
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ESMPRO/ServerAgent のセツトアツ 



「システムの再インストール」で ESMPRO / ServerAgent は自動的にインストールされます 
が、固有の設定がされていません。6章を参照してセットアップしてください。 


システム情報のバックアッ 



システムの再セットアップが終了した後、添付の r 保守-管理ツール CD - ROM 」 にあるオフラ 
イン保守ユーティリティを使って、システム情報をバックアップすることをお勤めします。 
前述の r システム情報のバックアップ」、および5章を参照してください。 


セットアップ 
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■ Memo - 


82 



























